Показано с 1 по 8 из 8.

Не могу выковырять вирус =) (заявка № 41959)

  1. #1
    Junior Member Репутация
    Регистрация
    18.03.2009
    Сообщений
    4
    Вес репутации
    33

    Exclamation Не могу выковырять вирус =)

    CureIt в обычном режиме запускается, но потом падает по ошибке. В защищенном режиме находит вирусы в файлах
    vmmreg32.dll
    winhelp32.exe
    VIDEO.sys
    но не может их вылечить.

    Фалы с диагностикой прикрепил. Жду советов
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    в защищённом надо было выбрать в cureit удаление- лечить их в вашем случае не надо

    выполните скрипт @ avz

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
     QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
     QuarantineFile('C:\WINDOWS\System32\vmmreg32.dll','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
     TerminateProcessByName('c:\windows\system32\winhelp32.exe');
     QuarantineFile('c:\windows\system32\winhelp32.exe','');
     QuarantineFile('C:\WINDOWS\system32\0\VIDEO.sys','');
     DeleteFile('c:\windows\system32\winhelp32.exe');
     DeleteFile('C:\WINDOWS\System32\vmmreg32.dll');
     DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
     DeleteFile('C:\WINDOWS\system32\0\VIDEO.sys');
     ExecuteRepair(6);
     ExecuteRepair(8);
     ExecuteRepair(9);
     ExecuteRepair(16);
    BC_DeleteSvc('VIDEO');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    сканировать повторно в безопасном с cureit , выбрать удаление.
    повторите логи.
    Меняйте пароли, ставьте sp3 и остальные заплатки.
    Последний раз редактировалось drongo; 18.03.2009 в 14:30. Причина: Добавлено

  4. #3
    Junior Member Репутация
    Регистрация
    18.03.2009
    Сообщений
    4
    Вес репутации
    33
    Спасибо! CureIt запускается в нормальном режиме и ничего не находит

    ЗЫ Нужно карантин прислать? Вроде бы все в порядке...
    ЗЗЫ Посмотрел - карантин получился большой 2.9Мб (не архивированный) Там файл video.sys 3 раза записан, а остальные 2 по 5 раз... Точнее с расширением .dta все по одному разу, а остальное с .dat и причиной карантина "BootCleaner quarantine".
    Последний раз редактировалось AVG50; 18.03.2009 в 15:25.

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    Нужно, пришлите что есть в карантине, но только, чтобы повторов не было и повторите логи...

  6. #5
    Junior Member Репутация
    Регистрация
    18.03.2009
    Сообщений
    4
    Вес репутации
    33
    Извиняюсь за задержку.
    Это логи. В качестве пояснения

    1) в директории Windows/System32 был директорий "0". Перед лечением компа я (на всякий случай) запихнул в него копии зараженных файлов. После того, как отработал ваш скрипт и комп был вылечен я подумал что это я сам создал этот директорий (я всегда создаю темп-директории с таким именем) и со спокойной душой переименовал его с -vir- А теперь оказалось, что в нем лежало 2 подозрительных файла с расширениями .с

    2) Можно грохнуть весь мусор в директории Local Settings/TEMP ? А то у меня там уже полгига лежит...

    3) Порекомендуйте чем можно почистить и оптимизировать реестр - подозреваю что там тоже много мусора накопилось за 3 года...
    Вложения Вложения

  7. #6
    Junior Member Репутация
    Регистрация
    18.03.2009
    Сообщений
    4
    Вес репутации
    33
    Упс... с карантином проблемы. Те файлы, с которыми мы боролись я запаковал в архив самим avz и отослал. А вот ещё один файл :

    ALSNDMGR.Cww

    имеет размер 258,605,056 и я обламался его закачать, хотя при последнем тестировании avz скинул его в карантин В этой же директории есть такой же файл с расширением .c :

    ALSNDMGR.C

    Стоит опасаться этих файлов? Напомню, что раньше они были в Windows/system32/0 а потом я его переименовал в -vir-
    Последний раз редактировалось AVG50; 18.03.2009 в 18:46.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    по касперскому :
    Trojan-Dropper.Win32.Agent.ahir
    Spy.Win32.Agent.gxa
    Trojan-PSW.Win32.Agent.lnf

    Пароли менять надо исходя из последнего
    Подозрительный файл конечно загрузить по правилам.
    временные файлы конечно почистить. рекомендую ccleaner, заодно и реестр подчистит от мусора.

    Пофиксить в hijackthis:

    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing)
    O4 - HKLM\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
    O20 - AppInit_DLLs: vmmreg32.dll
    не перегружаясь выполнить скрипт @ avz
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
     DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
     DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.

    ставить заплатки надо первым делом, ну и инструкции ждут:http://virusinfo.info/showthread.php?t=30339

    P.S. хранить вирусы в системной директории это вообще" убицца веником "
    Последний раз редактировалось drongo; 19.03.2009 в 15:18. Причина: Добавлено

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\vmmreg32.dll - Trojan-Dropper.Win32.Agent.ahir ( DrWEB: BackDoor.Zapinit.86, BitDefender: Backdoor.Generic.144602 )
      2. c:\windows\system32\winhelp32.exe - Trojan-Spy.Win32.Agent.gxa ( DrWEB: BackDoor.Zapinit.86, BitDefender: Trojan.Generic.1265949 )
      3. c:\windows\system32\0\video.sys - Trojan-PSW.Win32.Agent.lnf ( DrWEB: BackDoor.Zapinit.86, BitDefender: Trojan.Generic.1309282 )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) AVG50, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Не могу удалить вирус
      От Александр22 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 24.07.2011, 14:48
    2. Не могу вычеслить вирус
      От berz в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 31.05.2009, 19:43
    3. Не могу выявить вирус
      От Fluncky в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 09:09
    4. Вирус: не могу запустить AVZ
      От vlfil64 в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2009, 05:23
    5. Выковырять Nokia PCSuite...
      От joniscoolkz в разделе Microsoft Windows
      Ответов: 1
      Последнее сообщение: 25.06.2007, 08:20

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00926 seconds with 17 queries